VMware vShield 5安全套件使用須知
在安裝vShield 5之前需要了解
如果以前沒有使用過任何版本的VMware vShield的話,那麼需要了解有關VMware vShield的七個方面。(如果你對從現有版本升級至VMware vShield 5感興趣的話,直接跳至本文的第二部分“VMware vShield 5的五大特性”即可。)在安裝VMware vShield之前,首先需要了解VMware vShield的基本要素。
VMware vShield實際上是由vShield App、vShield App Data Security、vShield Edge、vShield Endpoint以及vShield Manager所組成的安全套件。你可以只購買“vShield bundle”包中的一部分組件,因爲不是所有的用戶都需要全部的組件。
VMware vShield是構建VMware 私有云的必備組件之一,因爲它提供了安全的多租戶功能,允許多個公司使用同一個虛擬基礎設施,一起連接到雲中。
vShield Manager是用來管理vShield App、vShield Edge以及vShield Endpoint的虛擬機。
vShield App是基於hypervisor的應用感知防火牆,對虛擬網絡中的流量和數據進行控制。vShield App是位於虛擬網卡接口層的4層防火牆,這意味着vShield App不僅能夠識別IP地址和端口號,而且能夠識別應用的流量,比如HTTP,SMTP,SQL等等。更值得稱道的是當虛擬機在主機之間進行vMotion遷移時,vShield App所使用規則仍然有效。如果打算使用vShield App的話,那麼還有一個新選擇vShield App Data Security,該產品能夠監控虛擬網絡中的流量,發現敏感的公司,僱員或信用卡數據,而且能夠避免數據落入壞人之手。
vShield Edge保護虛擬基礎設施的邊界,通過將私有虛擬基礎設施連接到公有云創建混合雲。vShield App保護內部虛擬網絡,而vShield Edge控制網絡的出入流量。
vShield Endpoint能夠與第三方反病毒工具進行集成,虛擬機的反病毒掃描由與安全相關的虛擬機獨自進行。如果你在使用桌面虛擬化,那麼vShield Endpoint是卸載影響虛擬機性能的反病毒掃描任務的一個很好的方法。
你可能也想了解vShield Zones。VMware在推出其他安全組件之前就提供了vShield Zones,VShield Zones是一個基本的虛擬防火牆,使用IP地址和端口號過濾虛擬網絡中的流量,是vShield App的一個更爲基本的形式。
和所有其他的vShield安全產品不同,VMware不單獨銷售vShield Zones,它包含在了vSphere企業版以及企業增強版的許可當中。但是,自從在2009年發佈以來,VMware一直沒有對vShield Zones進行更新。vShield Zones 1.0和vSphere 5兼容,既然VMware不打算對vShield Zones進行更多的更新,那麼我建議直接忽略掉vShield Zones,從使用vShield App,vShield Edge以及vShield Endpoint開始即可。
VMware vShield 5的五大特性
除了與vSphere 5兼容外,VMware vShield 5還具有衆多的新特性。
VMware vShield App Data Security能夠掃描虛擬基礎設施,識別出敏感的公司數據並阻止該數據離開該公司所在的虛擬網絡。數據安全選項是加強PCI合規性的理想方式。
支持多租戶(堆疊IP地址)
增強的安全組能夠實現更多的細粒度控制
整體性能有所提升
改進了VMware vShield Manager的用戶界面
下載並安裝VMware vShield 5
無論是使用vShield App還是vShield Edge,都必須先安裝vShield Manager。利用vShield Manager可以安裝,配置並維護VMware vShield 5的所有組件。你可以通過vSphere Client插件或者是命令行管理VMware的安全特性,但是首先需要運行vShield Manager進行vShield的部署。
你可以通過瀏覽器訪問已經安裝的vShield Manager,進行最初的配置。請注意vShield Manager默認的用戶名和密碼是“admin”和“default”。
安裝vShield Manager的基本步驟如下所示:
從VMware.com下載vShield Manager(可以進行爲期60天的免費評估)。
使用vSphere Client部署vShield Manager虛擬機(需要連接到vCenter)。
啓動vShield Manager虛擬機。
通過vSphere Client連接到vShield Manager控制檯並登錄。
在控制檯中,使用enable命令(默認密碼爲default)然後運行setup命令,爲vShield Manager配置IP地址。
通過Web瀏覽器訪問vShield Manager虛擬機。
輸入vCenter的主機名/IP地址以及vCenter 的管理憑據建立vShield Manager與vCenter之間的聯繫。
在vSphere Client中註冊vShield Manager插件
配置完vShield Manager之後,就可以安裝vShield App,vShield Edge,vShield Endpoint或這是vShield App Data Security了。每個安全組件都需要許可密鑰,也可以使用評估密鑰。現在你就可以在每臺ESXi 服務器上部署vShield App或者是vShield Eage虛擬機了。